Funktionen

Print[PRINT]
.  Home  .  Publikationen  .  Fopra/SEP/Bachelor  .  schm13a

Schmidt, J. (2013):

Advanced Evasion Techniken für auditgesicherte Gatewaysysteme


Die Erkennung von Innentätern ist eine schwierige Aufgabe. Die BalaBit Shell Control Box (SCB) bietet eine Möglichkeit, Aktivitäten von Administratoren aufzuzeichnen und so mögliche Innentäter zu erkennen. In dieser Arbeit wird untersucht, ob die Aufzeichnung durch Standardmittel umgangen werden kann.

Zunächst werden verschiedene Möglichkeiten betrachtet, bei denen Dateien mit schädlichem Inhalt, wie eigene Skripte oder Konfigurationsdateien, hochgeladen werden können. Dabei unterstützt die SCB die Aufzeichnung der Übertragungen über SCP und SFTP. Diese Aufzeichnung kann aber durch Verschlüsselung zumindest soweit umgangen werden, dass der Inhalt der Dateien nicht aufgezeichnet werden kann. Eine Aufzeichnung von Rsync-Übertragungen ist durch die SCB möglich, aber mit deutlich mehr Aufwand verbunden. Zusätzlich kann ein Angreifer diesen Aufwand durch fragmentierte Dateiübertragung erheblich erhöhen.

Andere Möglichkeiten, die Überwachung zu umgehen, sind durch Tunnel gegeben. Die SCB unterstützt dabei das Aufzeichnen von regulären SSH-Tunneln, ist aber nicht in der Lage SSH-Verbindungen, die innerhalb dieser Tunnel aufgebaut wurden, aufzuzeichnen. Vom Server ausgehende Verbindungen, wie umgekehrte SSH-Tunnel, können ebenfalls nicht überwacht werden. Sollte eine SSH-Verbindung innerhalb nicht unterstützter Protokolle wie HTTP(S) oder ICMP aufgebaut werden, so ist auch in diesen Fällen eine Überwachung nicht möglich.

Die Umgehung der Überwachung durch die verschiedenen Tunnel ist durch eine entsprechende Konfiguration der SCB und der zu überwachenden Server zu verhindern. Dateiübertragungen können eingeschränkt, aber nicht vollständig verhindert werden.

In dieser Arbeit ist keine Möglichkeit gefunden worden, die Überwachung vollständig zu umgehen. Der Versuch eines Angriffs konnte in den meisten Fällen, sofern es sich um von der SCB unterstützte Protokolle handelt, aufgezeichnet werden. Es ist allerdings möglich, die Aktivitäten zu verschleiern, so dass aus den Aufzeichnungen nicht ersichtlich ist, ob und welcher Schaden angerichtet wurde.